Зараз ви перебуваєте в автономному режимі; очікується повторне підключення до Інтернету

Входу в обліковий запис А комп'ютера користувача, який входить до складу більше 1010 груп, можуть не на комп'ютері під керуванням ОС Windows Server

Підтримку Windows Server 2003 припинено 14 липня 2015 р.

Корпорація Майкрософт припинила підтримку Windows Server 2003 14 липня 2015 р. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 328889
Ознаки
Коли користувач намагається увійти до системи за допомогою облікового запису на локальному комп'ютері або обліковий запис А комп'ютера користувача домену, оброблення запит на змінення на комп'ютері може не вдатися, і з'являється таке протокол IMAP про помилку:
протокол IMAP для входу до системи: Системі не вдається вхід до системи через таку помилку: під Вільний час спроби для входу до системи, в контексті безпеки в користувача накопичений надто багато кодів безпеки. Будь ласка, повторіть спробу або зверніться до системного адміністратора.
Ця проблема виникає, після входу користувача явного або Транзитивне членом біля 1010 а також додаткові група безпеки.

Тип події: попередження
Джерело події: LsaSrv
Категорія події: немає
Код події: 6035
Дата:Дата
Час:Вільний час
Користувач: н/д
Комп'ютер: ім’я хоста

Опис:

Під Вільний час спроби для входу до системи в контексті безпеки в користувача накопичений надто багато кодів безпеки. Це дуже незвичайна ситуація. Видалити деякі глобальний або локальна група домену зменшити кількість ідентифікаторів в контексті безпеки безпеки користувача.

Користувача ідентифікатор SID ІДЕНТИФІКАТОР SID

Якщо обліковий запис А комп'ютера адміністратора, вхід в безпечному режимі, дає змогу адміністратора для входу, обмежуючи автоматично в групах.

причина
Після входу користувача до системи комп'ютера, локальним центром безпеки (LSA частиною локальної безпеки підсистема сертифікації) створює маркер доступу, який представляє контекст безпеки користувача до. маркер доступу містить унікальні ідентифікатори безпеки (SID) для будь-який користувач є членом групи. Ці-ідентифікаторів SID, містять перехідних груп і SID значення SIDHistory, користувачів і груп рахунків.

Масив, який містить ідентифікатори SID, в групах у маркер доступу користувача може містити не більше за 1024 ідентифікаторів SID. Безпеки, не можна видаляти будь-які SID з маркер. Таким чином, якщо більше-ідентифікаторів SID, безпеки не вдалося створити маркер доступу, і користувач зможе увійти.

Після того, як побудована список ідентифікаторів SID, безпеки також вставки кілька загальні, відомі ідентифікаторів SID окрім ідентифікатори SID для користувача в групах (імпортованих оцінку). Таким чином, якщо користувач належить до групи більше про-1010 настроювані безпеки, загальна кількість ідентифікаторів SID, може перевищувати 1,024 обмеження SID.

Увага!
  • Маркери, як адміністратор, так і без прав адміністратора, облікові запис А бізнес-партнера, можуть обмеження.
  • Точна кількість настроюваних-ідентифікаторів SID залежить від типу для входу до системи (наприклад, інтерактивний, застосунок-служба мережі) і версії операційної системи, контролера домену, і комп’ютер-зразок, який створює маркер.
  • За допомогою Kerberos або NTLM як протокол автентифікації не має відношення на обмеження доступу-маркерів.
  • Параметр "MaxTokenSize" клієнта Kerberos, що описується в бази Знань 327825. "Знак" в контексті Kerberos, що стосується буфер на об'єкти, які отримали безліч Windows Kerberos. Залежно від розміру квиток, типу ідентифікаторів SID і SID стискання увімкнуто буфер може містити менше, або багато більше ідентифікаторів SID, ніж будуть більшими за маркер доступу.
Список користувацьких-ідентифікаторів SID буде включають:
  • основний маркер ідентифікаторів SID користувача комп'ютера, а також група безпеки облікового запису, є членом.
  • Ідентифікаторів SID в атрибуті SIDHistory груп область увійти в систему.
Через те, що SIDHistory атрибут, може містити кілька значень, максимальної кількості 1024 ідентифікаторів SID досягається дуже швидко, якщо облікові запис А бізнес-партнера перенесення кілька разів. Кількість ідентифікаторів SID у маркер доступу, буде beless, ніж кількість груп, що користувач входить в такій ситуації:
  • Користувач, що є у довіреному домені, де SIDHistory і ідентифікаторів SID є відфільтровані.
  • Користувач є у довіреному домені через безпеки, де є карантин ідентифікаторів SID. Після цього включаються лише ідентифікаторів SID у тому самому домені користувача.
  • Лише домену локальна група домену ідентифікаторів SID в домені ресурсів, які входять до.
  • Лише Server локальна група домену ідентифікаторів SID із сервера ресурсів, які входять до.
Ці відмінності, тому що, цілком можливо, що користувач може увійти на комп’ютер-зразок в одному домені, а не на комп'ютері ще входить до домену. Користувач може бути увійти на один сервер, який входить до домену, але на іншому сервері в одному домені.
Розв'язанн
Щоб вирішити цю проблему, використовуйте один із наведених нижче способів відповідно до ситуації.

Спосіб 1

Цей дозвіл застосовується ситуації, коли користувач, який виникла помилка входу до системи не має права адміністратора, а також адміністратори можуть увійти до системи комп'ютера або домену.

Цей спосіб вирішення має виконувати адміністратор, який має дозволи на змінення групах відповідного користувача входить. Адміністратор, потрібно змінити користувача групах, щоб переконатися, що користувач більше не є членом більше про-1010 група безпеки, (з урахуванням Транзитивне-групах а також на локальних групах).

Параметри, щоб зменшити кількість ідентифікаторів SID маркера користувача, у включають:
  • Видалити користувача достатню кількість груп безпеки.
  • Перетворення груп розсилки група безпеки, які не використовуються. Групи розсилки, не враховуються маркерів обмеження доступу. Перетворені Група необхідна можна перетворити груп розсилки на група безпеки.
  • Перевірте, чи безпеки принципи покладаються на журнал SID ресурсів доступу. Якщо ні, видаліть атрибут SIDHistory з цих облікових записів. Можна отримати через до основного відновлення, значення атрибута.
Примітка Хоча Максимальна кількість груп безпеки, що користувач може бути членом 1024, як можливе застосування, обмежити число менше, 1010. Це число робить певні цього маркера покоління завжди вдасться через те, що забезпечує простору для загальних ідентифікаторів SID, вставлених безпеки.

Спосіб 2

Роздільна здатність стосується ситуації, в яких адміністратора облікового запису не вдається увійти до системи.

Під Вільний час входу в систему, не вдається виконати через забагато групах користувача належить до групи адміністраторів, адміністратори, які мають облікові дані облікового запису адміністратора (тобто облікового запису з відомим відносно ідентифікатор [RID] 500) потрібно перезавантажити контролера домену, вибравши варіант завантаження в Безпечному режимі (або за допомогою запуску параметра " безпечний режим із завантаженням мережних драйверів "). У безпечному режимі він має ввійдіть до контролера домену за допомогою фінансові дані облікового запису адміністратора.

корпорація Майкрософт змінився маркерів створення алгоритму так, що безпеки можна створити на маркер доступу до облікового запису адміністратора, таким чином, адміністратор може увійти незалежно від того, скільки перехідних груп або непереходность облікового запису адміністратора, входить до складу групи. Під Вільний час сценарій виконання одного з варіантів завантаження безпечного режиму,-маркер доступу, створений для облікового запису адміністратора, містить ідентифікаторів SID, усі вбудовані та домену глобального усіх груп, що обліковий запис А комп'ютера адміністратора, входить до складу.

Ці групи зазвичай включають:
  • Для всіх (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT, AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT-AUTHORITY\Authenticated користувачів (S-1-5-11)
  • ЛОКАЛЬНИЙ (S-1-2-0)
  • Домен\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • ДоменАдміністратори для \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre, Windows 2000 сумісних Access(S-1-5-32-554), якщо кожного є членом групи
  • NT-AUTHORITY\This організації (S-1-5-15) на контролері домену під керуванням Windows Server 2003
Примітка. Якщо параметр завантаження в Безпечному режимі , в Active Directory-пользователи и компьютеры оснастки користувача інтерфейсу користувача не надається. У Windows Server 2003 адміністратор може також увійти за допомогою параметра завантаженнябезпечний режим із завантаженням мережних драйверів ; у цьому режимі в Active Directory-пользователи и компьютеры оснащення інтерфейс доступний.

Після того, як адміністратор має увійти до системи, виберіть один із параметрів завантаження безпечного режиму а також за допомогою фінансові дані адміністратора, адміністратор має потім виявлення та змініть членом група безпеки, який викликав на відмову в обслуговуванні входу до системи.

Після змінення цих параметрів користувачі повинні увійти належним чином після і періоду часу, що дорівнює домену-затримка реплікації минув.
Додаткові відомості
Універсальний ідентифікаторів SID облікового запису часто вдаються до такого:
Для всіх (S-1-1-0)
BUILTIN\Users (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
NT-AUTHORITY\Authenticated користувачів (S-1-5-11)
Вхід до системи з сеансу Sid (S-1-5-5-X-Y)
Увага!: засіб перевірки "Whoami" часто використовується для перевірки маркери доступу. Цей засіб не відображається поле сеансу роботи SID.

Приклади для ідентифікаторів SID, залежно від сеансу роботи, введіть:
ЛОКАЛЬНИЙ (S-1-2-0)
КОНСОЛЬ ВХОДУ ДО СИСТЕМИ (S-1-2-1)
NT, AUTHORITY\NETWORK (S-1-5-2)
NT, AUTHORITY\SERVICE (S-1-5-6)
NT, AUTHORITY\INTERACTIVE (S-1-5-4)
КОРИСТУВАЧ NT AUTHORITY\TERMINAL SERVER (S-1-5-13)
NT, AUTHORITY\BATCH (S-1-5-3)
Ідентифікаторів SID, часто використовуваних основному груп:
Домен \Domain-комп'ютерів (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
\Domain користувачів для домену (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
\Domain-Адміністратори домену (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Ідентифікаторів SID описами, як перевірити сеансу роботи є:
Автентифікація сертифікації, стверджував посвідчення (S-1-18-1)
Служба стверджував, посвідчення (S-1-18-2)
Ідентифікаторів SID, які описують маркера рівня узгодженості:
Середня обов'язковий рівня (S-1-16-8192)
Обов'язковий рисах (S-1-16-12288)
маркер доступу, за потреби можуть включати такі ідентифікаторів SID:
BUILTIN\Pre, Windows 2000 сумісних Access(S-1-5-32-554), якщо кожного є членом групи
NT AUTHORITY\This організації (S-1-5-15) Якщо обліковий запис А комп'ютера з одного лісу, що й на комп'ютері.
Примітка
  • Як ви бачите із приміткою в SID, запис А "SID сеансу, входу до системи", не кількість ідентифікаторів SID, у списку інструмент виходами і припустимо, що вони завершено для всіх кінцевих комп'ютерах і типів для входу до системи. Слід враховувати, що обліковий запис А комп'ютера, що є небезпека працює в це обмеження, коли вона має більше 1000-ідентифікаторів SID. Не забудьте, залежно від комп'ютера, де створюється маркер, сервера або робочої станції для локальних групах можна також додати.
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates домену чи робочої станції компоненти SID.
Наведений нижче приклад демонструє, що домену локальної безпеки групи буде відображатися в користувача маркер, під Вільний час входу користувача до комп'ютера, який входить до домену.

У цьому прикладі припустимо, що входить до домену, А Joe і є членом домену локальна група домену користувачів з A\Chicago домену. Joe, є також є членом домену локальна група домену користувачів з B\Chicago домену. Joe входу на комп'ютері, який належить до домену A (наприклад, домен A\Workstation1), маркер буде створено для Joe на комп'ютері та маркер містить усі універсальний і Глобальна Група членство, окрім SID домену A\Chicago користувачів. Це не містять SID домену B\Chicago користувачів через те, що комп’ютер-зразок, де Joe увійти до системи (домен A\Workstation1), що входить до домену, а.

Так само, коли Joe входу до комп'ютера, який входить до домену, B (наприклад, домен B\Workstation1), маркер буде створено Joe на комп'ютері та маркер містить усі універсальний і Глобальна Група членство, окрім SID, для користувачів, B\Chicago домену; він не містить SID домену A\Chicago користувачів через те, що комп’ютер-зразок, де Joe увійти до системи (домен B\Workstation1) належить до домену, б.

Однак під Вільний час Joe входу до комп'ютера, який входить до домену (наприклад, домен C\Workstation1), маркер створюється для Joe на входу до системи комп'ютера, який містить усі універсальний і глобальний групах для Joe облікового запису. Ідентифікатор SID домену A\Chicago користувачів, ні SID, для домену B\Chicago користувачів з'являється маркер через те, що на локальних групах домену, Joe, входить до складу, у іншого домену, ніж комп’ютер-зразок де Joe увійти до системи (домен C\Workstation1). З іншого боку, якщо Joe член деякі домену локальна група домену, які належать до домену (наприклад, домен C\Chicago користувачів), маркер, створений для Joe на комп'ютері буде містити, окрім всі універсального та глобального членство SID домену C\Chicago користувачів.

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 328889 – останній перегляд: 06/20/2016 11:30:00 – виправлення: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtuk
Зворотний зв’язок